ソフトバンク、OpenAI 活用の「Patching as a Service」を3,000社へ拡大し本格提供開始

セキュリティニュース

投稿日時: 更新日時:

ソフトバンク、OpenAI 活用の「Patching as a Service」を3,000社へ拡大し本格提供開始

ソフトバンクとSB OAI Japan合同会社は2026年7月14日、OpenAIの技術を活用したAI駆動型サイバーセキュリティ対策ソリューション「Patching as a Service(PaaS)」について、提供対象を3,000社に拡大し本格的な提供を開始したと発表しました。当サイトでも2026年6月16日の初期提供開始を報じてきましたが、今回はその対象範囲を大幅に広げ、脆弱性診断からパッチ適用までを一気通貫で担う体制が本格稼働に移った形です。

サマリー

  • ソフトバンクとSB OAI Japanは2026年7月14日、「Patching as a Service」の提供対象を3,000社に拡大し、本格的な提供を開始したと発表した
  • 同サービスはOpenAIのAI技術とソフトバンクの運用ノウハウを組み合わせ、ソースコード診断・攻撃診断・レポートと対策の提示・パッチ適用までを一気通貫で行う
  • 静的診断では、不自然なソースコードや設定不備、古い認証方式などの潜在的な脆弱性を検出し、必要に応じて動的診断で実際の環境での悪用可能性や影響範囲を確認する
  • 攻撃診断では、外部から確認できるシステムの挙動をもとに疑似的な攻撃を行い、攻撃者の視点で脆弱性を検出する
  • パッチ適用では、検出した脆弱性の修正に必要なプログラムを作成し、模擬環境でのテストを経たうえで対象システムへ適用する
  • 一部企業への先行診断では、ソースコード1,000万行あたり平均約280件の潜在的な脆弱性を検出しており、このうち25%は早急な対策が必要となりうる高リスクの脆弱性だったとしている
  • ソフトバンクは2026年6月16日に「AIサイバー防衛室」を設置しており、SB OAI Japanとあわせて約1,000人体制で提供・コンサルティングを進めるとしている
  • 今後は対策を強化するオプションを順次追加するほか、ソースコード・システム言語の刷新やオンプレミス環境からクラウド環境への移行に対応するモダナイゼーションサービスも提供予定としている
項目 内容
公表日 2026年7月14日
提供主体 ソフトバンク株式会社、SB OAI Japan合同会社
技術提供元 OpenAI(GPT-5.5-Cyber、Daybreak等)
対象拡大 3,000社へ拡大、本格提供開始
サービス内容 ソースコード診断(静的・動的)、攻撃診断、レポート作成、パッチ適用の一気通貫支援
先行診断結果 ソースコード1,000万行あたり平均約280件の潜在的脆弱性を検出、うち25%が高リスク
体制 2026年6月16日設置の「AIサイバー防衛室」+SB OAI Japanで約1,000人規模
今後の展開 対策強化オプションの追加、モダナイゼーションサービス(言語刷新・クラウド移行支援)

何が起きたか-3,000社への拡大と本格提供開始

ソフトバンクとSB OAI Japanは2026年7月14日、「Patching as a Service」の提供対象を3,000社に拡大し、本格的な提供を開始したと発表しました。同サービスは2026年6月16日、ソフトバンクグループ・ソフトバンク・SB OAI Japanの3社が、日本国内の重要インフラを支える一部企業を対象に提供開始を発表していたもので、当サイトでもその内容を報じてきました。今回の発表は、この初期提供から対象範囲を大幅に拡大し、本格的な商用提供の段階へ移行したことを示すものです。

サービスの中身は、ソースコード診断・攻撃診断・レポートと対策の提示・パッチ適用という4段階で構成されています。静的診断では、不自然なソースコードや設定不備、古い認証方式など潜在的な脆弱性を検出し、必要に応じて動的診断を実施することで、実際の環境において悪用される可能性や影響範囲を確認します。攻撃診断では、外部から確認できるシステムの挙動をもとに疑似的な攻撃を行い、攻撃者の視点から脆弱性を洗い出します。診断結果からは、影響度や対策の優先度、推奨される対策をまとめたレポートが作成され、担当者がシステム環境に応じた具体的な対策方法を提示します。そしてパッチ適用の段階では、検出された脆弱性の修正に必要なプログラムを作成し、模擬環境での動作確認等のテストを経たうえで、対象システムへ適用します。

一部企業への先行診断では、ソースコード1,000万行あたり平均約280件の潜在的な脆弱性が検出されており、このうち25%は早急な対策が必要となる可能性のある高リスクの脆弱性だったとされています。今後は対策を強化するオプションの追加や、ソースコード・システム言語の刷新、オンプレミス環境からクラウド環境への移行に対応するモダナイゼーションサービスも提供予定としています。ソフトバンクは6月16日に「AIサイバー防衛室」を設置しており、SB OAI Japanとあわせて約1,000人体制で提供・コンサルティングを進めていくとしています。

6月16日の提供開始からの変化

当サイトで既報の通り、6月16日の当初発表時点では、まずソフトバンクが日本国内の重要インフラを支える一部の企業に対して脆弱性診断の申し込み受付を順次案内するという、限定的な提供の枠組みでした。この時点でソフトバンクは、自社の約1,800システムのうちソースコードを自社管理する約700システムを対象に、OpenAIのフロンティアAIモデル「GPT-5.5-Cyber」やセキュリティ拡張機能「Codex Security」等を用いた先行実証を行い、約1万500件の脆弱性(うち約4,000件が緊急対応を要する水準)を検出したことを公表していました。

ソフトバンクグループの孫正義会長兼社長は、この取り組みを発表した際、AIを悪用したサイバー攻撃の脅威を「黒船の襲来以来の危機」と表現し、AIによる攻撃に対してAIによる防御で対抗する姿勢を強調していました。

今回7月14日の発表は、この6月時点の「一部企業向け」という限定的な位置づけから、「3,000社」という具体的な対象規模を掲げた本格提供への移行を示すものです。診断のプロセスについても、静的診断・動的診断・攻撃診断・レポート・パッチ適用という各段階がより具体的に説明されており、サービスとしての体系化が進んでいることがうかがえます。

情報システム部門への示唆

今回のサービス拡大は、AIを悪用したサイバー攻撃の高度化・自動化が進む中で、防御側もAIを活用した脆弱性管理へ移行する動きが、日本国内でも具体的な商用サービスとして本格化しつつあることを示しています。当サイトで以前紹介した通り、日本では2025年5月に成立した能動的サイバー防御関連法(サイバー対処能力強化法)の本格施行が2026年秋から11月に迫っており、重要インフラ事業者には脆弱性管理・インシデント報告体制の強化が求められています。今回のサービス拡大は、こうした政策的要請と、重要インフラ企業のセキュリティ強化ニーズの両方に応える形での展開だと捉えられます。

自組織が電力・ガス・通信・金融・交通等の重要インフラに関連する事業者である場合、あるいはサプライチェーン上でこうした事業者と取引がある場合は、こうしたAI駆動型の脆弱性診断・パッチ適用サービスの動向を注視し、自組織のセキュリティ対策の高度化に向けた選択肢の一つとして検討する価値があります。あわせて、ソフトバンク自身が自社の約700システムの診断で1,000万行あたり約280件、うち25%が高リスクという規模の潜在的脆弱性を検出したという事実は、相当なセキュリティ投資を行ってきた大企業であっても、既存のソースコードには相当数の未発見の脆弱性が潜在している可能性を示しています。自組織の脆弱性管理が「発見済みの既知の脆弱性への対応」にとどまっていないか、より網羅的な診断の必要性を検討する契機として捉えることをお勧めします。

 

出典